L’estorsione informatica
L’estorsione informatica
Il d.d.l. AC 1717 (“Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”), nel disporre l’inasprimento delle pene per alcune fattispecie di reato informatico, si propone di inserire nel codice penale una nuova fattispecie di “estorsione informatica”.
Il Governo si è orientato in questa direzione “in ragione della specifica gravità e della frequenza dei ricatti realizzati attraverso la minaccia o l’attuazione di attacchi informatici”.
Il nuovo delitto di estorsione informatica
Il nuovo comma 3 dell’art 629 c.p. prevederà quanto segue:
chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635- quater e 635-quinquies, ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000.
La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nell’ultimo capoverso dell’articolo precedente.
In altri termini, verrà punita l’estorsione commessa (o minacciata) attraverso i reati di:
- accesso abusivo a sistema informatico o telematico;
- intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
- falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche;
- danneggiamento di informazioni, dati e programmi informatici;
- danneggiamento di sistemi informatici o telematici;
- danneggiamento di sistemi informatici o telematici di pubblica utilità.
Si vuole intervenire in maniera decisa sulla c.d. cyber extortion, la quale si propone di bloccare o limitare le funzioni di un dispositivo finché non si paga un riscatto.
Si può trattare, per esempio, di informazioni sensibili dei dipendenti di un’azienda o dei suoi clienti; dati confidenziali che, se divulgati, potrebbero danneggiare la reputazione online ecc. (cfr. sul tema, “Internet Crime Report”, 2023, dell’Internet Crime Complaint Center, FBI).
Da menzionare pure la circostanza attenuante di cui al nuovo art. 639-ter c.p. (riduzione dalla metà a due terzi della pena prevista) “per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorità di polizia o l’autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi”.
La responsabilità dell’ente collettivo
L’estorsione informatica verrà pure richiamata dall’art 24-bis d.lg. 231/2001, potendo comportare, a carico dell’ente a vantaggio del quale viene commessa, l’applicazione della sanzione pecuniaria da trecento a ottocento quote e delle sanzioni interdittive previste dall’articolo 9, comma 2, per una durata non inferiore a due anni.
L’ipotizzata durata delle sanzioni interdittive non mi sembra corretta, sia in relazione alle altre ipotesi di reato informatico (nelle quali essa è compresa tra tre mesi e due anni) sia, soprattutto, in relazione alla circostanza che due anni è la durata massima delle interdittive secondo il d.lg. 231 (tranne l’eccezione dei delitti di corruzione).
In altri termini, “non inferiore a due anni” equivale, in concreto, ad una durata predeterminata in misura fissa, appunto di due anni.
Ciò non è previsto nemmeno per reati altrettanto gravi quali i delitti di criminalità organizzata e i delitti contro la personalità individuale.